こんにちは、Ruby on RailsとDiscourseは初めてです。
コードのセキュリティを確認するために、監査テストを実施したいと考えています。問題がないのに問題があると誤検出することがあることは承知しています。
Discourseには既に監査テストが統合されているのか疑問に思っています。Brakemanを統合しようとしたところ、SQLインジェクション、危険な評価、SSL検証バイパスなど、さまざまな警告が表示されました。各警告の有効性を確認するプロセス中ですが、警告を破棄すべきかどうか、時々確信が持てません。
ようこそ!
RailsとDiscourseにあまり慣れていない場合、これは最初のタスクとしてはあまり良いものではないように思えます。
Discourseチームはセキュリティを非常に真剣に考えており、専任の開発者チームに加えて、HackerOneが積極的にセキュリティ上の問題を探しています: HackerOne How secure is Discourse? も参照してください。
ご自身で開発したコードのセキュリティをテストしない限り、他のほとんどのことに時間を使うことをお勧めします。自動化されたツールが正当なセキュリティ上の問題を見つける可能性は、ほぼゼロに近いです。RailsとDiscourseのセキュリティ問題について、あなたよりも優れた感覚を持つ多くの人々が積極的に取り組んでいます。
「いいね!」 2
迅速なご対応ありがとうございます。
それは拝見しました。Discourseのセキュリティを完全に信頼していたとしても、統合プロセスを円滑に進めるために、会社のポリシーで監査を実行する必要がありました。それ以外はすべて完璧に見えるので、監査テスト機能が含まれているのかどうか疑問に思っていました。
「いいね!」 1
ああ、なるほど。もし何か見つけたら、副収入になるかもしれませんね!
ほとんどのテストはRailsのspecsやqunitテストで行われると思いますが、この件についてはお役に立てそうにありません。
「いいね!」 1
はい、でも、ご協力ありがとうございました。
「いいね!」 1